Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Credential Stuffing

Aanvallen

Een methode waarbij aanvallers lijsten met gecompromitteerde gebruikersnamen en/of wachtwoorden gebruiken om een ​​systeem binnen te dringen.

Credential stuffing is een geautomatiseerde aanvalstechniek waarbij aanvallers grote hoeveelheden gestolen gebruikersnaam-wachtwoordcombinaties systematisch uitproberen op websites en applicaties. De aanval maakt misbruik van het feit dat veel mensen hetzelfde wachtwoord gebruiken voor meerdere diensten. Wanneer inloggegevens uitlekken bij een datalek, proberen aanvallers diezelfde gegevens bij banken, webshops, e-mailproviders en andere platforms. Volgens recente onderzoeken bevatten credential stuffing-lijsten inmiddels meer dan 2 miljard unieke e-mailadressen. Het succespercentage is laag, rond 0,1%, maar bij miljoenen pogingen levert dit duizenden gecompromitteerde accounts op. De aanval is schaalbaar, goedkoop en vormt een van de meest voorkomende dreigingen voor online diensten.

Hoe werkt credential stuffing?

Het proces begint met het verzamelen van inloggegevens. Aanvallers kopen databases met gelekte credentials op darkwebmarktplaatsen of verzamelen ze uit publiek beschikbare datalekken. Een enkel groot datalek kan honderden miljoenen inlogcombinaties bevatten. Deze gegevens worden vervolgens geladen in gespecialiseerde tools die het inlogproces automatiseren. De tools zijn vrijelijk beschikbaar en vereisen weinig technische kennis om te gebruiken.

Moderne credential stuffing-tools zijn geavanceerd. Ze gebruiken grote aantallen proxy-servers om de aanvallen te verspreiden over duizenden IP-adressen, waardoor IP-gebaseerde blokkering minder effectief is. De tools simuleren menselijk gedrag door variatie in timing en browserkenmerken, wat detectie door standaard anti-bot-oplossingen bemoeilijkt. Sommige tools kunnen zelfs CAPTCHA's omzeilen via geautomatiseerde oplossingsservices die menselijke CAPTCHA-oplossers inzetten voor een fractie van een cent per oplossing.

Na een succesvolle inlog gaan aanvallers verder met het exploiteren van de gecompromitteerde accounts. Bij financiële diensten worden transacties uitgevoerd, bij webshops worden aankopen gedaan met opgeslagen betaalgegevens, bij e-mailaccounts wordt gezocht naar wachtwoordherstellinks voor andere diensten. Dit noemen we account takeover (ATO) en het is een groeiend probleem: gestolen credentials zijn nu verantwoordelijk voor circa 22% van alle beveiligingsincidenten. De gehele keten van credential stuffing tot account takeover kan volledig geautomatiseerd verlopen, waardoor het een lucratief businessmodel is voor cybercriminelen.

Hoe herken je credential stuffing?

Credential stuffing-aanvallen vertonen karakteristieke patronen die je kunt detecteren. Het meest opvallende signaal is een plotselinge piek in mislukte inlogpogingen, vaak van honderden of duizenden verschillende IP-adressen tegelijk. Kijk naar het ratio van mislukte versus geslaagde inlogpogingen: bij normale gebruikersactiviteit ligt dit rond 5-10%, bij credential stuffing kan het oplopen tot 95% of hoger. Deze pieken zijn vaak goed zichtbaar in je monitoringdashboards.

Monitor ook op inlogpogingen vanuit ongebruikelijke locaties of met ongebruikelijke patronen. Als een account dat normaal inlogt vanuit Nederland plotseling wordt benaderd vanuit tientallen landen binnen een kort tijdsbestek, is dat een sterk signaal. Andere indicatoren zijn inlogpogingen buiten kantooruren, het gebruik van verouderde browsers of ongebruikelijke user agents en inlogpogingen op accounts die al maanden inactief zijn. Het combineren van meerdere indicatoren verhoogt de betrouwbaarheid van de detectie aanzienlijk.

SIEM-systemen en gespecialiseerde bot-detectieplatforms kunnen deze patronen automatisch detecteren en alerts genereren. Stel drempelwaarden in voor het aantal mislukte inlogpogingen per tijdseenheid, per IP-adres en per account. Combineer deze monitoring met threat intelligence-feeds die bekende credential stuffing-IP-adressen en -tools bevatten. Diensten zoals Have I Been Pwned bieden API's waarmee je proactief kunt controleren of de credentials van je gebruikers voorkomen in bekende datalekken.

Hoe bescherm je je tegen credential stuffing?

De meest effectieve verdediging is multi-factor authenticatie (MFA). Zelfs als een aanvaller over correcte inloggegevens beschikt, kan deze zonder de tweede factor niet inloggen. MFA reduceert het risico op succesvolle credential stuffing vrijwel volledig. Implementeer MFA op alle gebruikersaccounts, niet alleen beheerdersaccounts. Kies bij voorkeur voor app-gebaseerde authenticatie of hardware tokens boven SMS-gebaseerde verificatie, omdat SMS kwetsbaarder is voor onderschepping.

Op applicatieniveau zijn rate limiting en progressive delays effectief. Beperk het aantal inlogpogingen per IP-adres en per account per tijdseenheid. Voeg progressieve vertragingen toe na meerdere mislukte pogingen: 1 seconde na de derde poging, 5 seconden na de vijfde, enzovoort. Dit maakt geautomatiseerde aanvallen aanzienlijk trager en minder rendabel. Combineer dit met tijdelijke account lockouts na een configureerbaar aantal mislukte pogingen.

Implementeer bot-detectie en CAPTCHA's, maar wees je ervan bewust dat geavanceerde aanvallers deze kunnen omzeilen. Overweeg gedragsgebaseerde authenticatie die het typische gedrag van een gebruiker analyseert en afwijkingen signaleert. Stimuleer gebruikers om unieke wachtwoorden te gebruiken per dienst, bij voorkeur via een wachtwoordmanager. Monitor actief op gelekte credentials via diensten zoals Have I Been Pwned en forceer wachtwoordwijzigingen wanneer de credentials van je gebruikers opduiken in bekende datalekken. Wachtwoordbeleid dat hergebruik ontmoedigt en sterke wachtwoorden vereist, vormt de eerste verdedigingslinie.

Credential stuffing en de supply chain

Credential stuffing raakt niet alleen je eigen organisatie maar ook je supply chain. Als een leverancier of partner wordt gecompromitteerd via credential stuffing, kan dit een startpunt zijn voor aanvallen op jouw systemen. Shared accounts, API-keys en portal-toegang die gekoppeld zijn aan gecompromitteerde credentials van een derde partij vormen een indirect maar reëel risico. Het beoordelen van de authenticatiepraktijken van je leveranciers is daarom een belangrijk onderdeel van supply chain security.

Organisaties die webapplicaties aanbieden, moeten credential stuffing in hun dreigingsmodel opnemen. De verantwoordelijkheid voor bescherming ligt deels bij de aanbieder van de dienst. Implementeer server-side maatregelen zoals rate limiting, account lockout policies en bot-detectie. Overweeg een Web Application Firewall (WAF) met specifieke regels voor credential stuffing-detectie. Monitor het dark web op gelekte credentials van je gebruikers via geautomatiseerde diensten. De AVG vereist dat je passende technische maatregelen treft om persoonsgegevens te beschermen. Credential stuffing die leidt tot ongeautoriseerde toegang tot persoonsgegevens kan worden geclassificeerd als een datalek dat binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens. Proactieve bescherming tegen credential stuffing is daarom niet alleen een security-maatregel maar ook een compliance-vereiste.

Veelgestelde vragen over credential stuffing

Wat is het verschil tussen credential stuffing en brute force?

Bij brute force probeert een aanvaller willekeurige wachtwoordcombinaties tot er een werkt. Bij credential stuffing worden specifieke, eerder gestolen inloggegevens gebruikt. Credential stuffing is effectiever omdat het gebruik maakt van wachtwoorden waarvan bekend is dat ze door echte gebruikers worden gebruikt.

Hoe komen aanvallers aan gestolen credentials?

Credentials komen vrij bij datalekken, phishing-campagnes, malware die inloggegevens oogst en via darkwebmarktplaatsen waar databases met gelekte credentials worden verhandeld. Een enkel groot datalek kan miljarden inlogcombinaties bevatten die jarenlang worden hergebruikt door aanvallers.

Is MFA voldoende bescherming tegen credential stuffing?

MFA is de meest effectieve maatregel en maakt credential stuffing vrijwel onmogelijk. Combineer MFA echter met andere maatregelen zoals rate limiting en monitoring. Niet alle MFA-methoden zijn even sterk: app-gebaseerde authenticatie is veiliger dan SMS-verificatie.

Hoe weet ik of mijn gegevens gelekt zijn?

Gebruik diensten zoals Have I Been Pwned om te controleren of je e-mailadres voorkomt in bekende datalekken. Veel wachtwoordmanagers bieden ook een functie die je waarschuwt als opgeslagen wachtwoorden in datalekken zijn aangetroffen. Wijzig gecompromitteerde wachtwoorden direct.

Wat is het succespercentage van credential stuffing?

Het succespercentage ligt gemiddeld rond 0,1%, maar dit varieert per doelwit. Bij diensten zonder MFA en met veel gebruikers die wachtwoorden hergebruiken kan het hoger liggen. Zelfs bij 0,1% levert een aanval met een miljoen credentials duizend gecompromitteerde accounts op.

Bescherm je organisatie tegen credential stuffing. Vind de juiste aanbieder via Identiteitsbeheer op IBgidsNL.